los usuarios y contraseñas que usan los atacantes para entrar a redes ajenas


Un informe de Rapid7 reveló la mala política de passwords como problema principal. El estudio y la palabra de los expertos.

Un informe de Rapid7, una compañía de seguridad informática, reveló que los ciberdelincuentes prueban con usuarios y claves muy simples para entrar en redes ajenas: “administrator“, “user“, “admin”, “root”; y “123456” o “qwerty”.

Los ataques de credenciales constituyen una técnica que usan los ciberdelincuentes para acceder a computadoras de otras personas. Se trata de un método que consiste en probar claves hasta que una de ellas valida el proceso de logueo.

Así, a pesar de que hay millones de ciberataques de este tipo, los atacantes logran entrar a sistemas de terceros usando usuarios como “user” o “admin” y contraseñas como “123456″, “123456789” y “qwerty”. “Los atacantes están tomando el camino más fácil”, concluye Tod Beardsley, director de investigaciones de Rapid7.

El informe, llamado Good passwords for bad bots, registró durante 12 meses ataques a dos tipos de servidores muy usados (RDP y SSH), y detectó que en 512 mil casos los atacantes pudieron entrar con la información de un conocido archivo llamado RockYou2021.txt, un texto que tiene cerca de 8.400 mil millones de contraseñas utilizadas por usuarios.

RockYou2021.txt, la fuente de los ataques


El archivo contiene más de 8 mil millones de usuarios y contraseñas, utilizados por investigadores de Rapid7. Foto GitHub

“El archivo original surge a partir de una plataforma homónima (“Rock You”), la cual fue filtrada a fines de 2009. Como su base de datos no tomaba buenas prácticas de encriptación de datos en reposo (es decir, guardaba información sensible como las contraseñas en texto plano), fue muy simple para el atacante extraer estos datos y disponibilizarlos”, explica a Clarín Mauro Eldritch, analista de amenazas.

“El archivo es un documento en texto plano, un simple txt pero contiene todas las claves de dicha filtración. Con el tiempo, este archivo fue adoptado ampliamente y se fue modificando para incluir las claves más utilizadas en otras filtraciones”, agrega.

Sus usos son múltiples, pero tienen al ciberdelito en el centro de la escena.: “Es ampliamente utilizado hoy en día para realizar ataques contra la autenticación de una plataforma o servicio, ya sea en modo recreativo como en un CTF o ejercicio coordinado, o incluso con usos profesionales”.

Lo que hizo Rapid7 fue usar una red de “honeypots” (frasco de miel), o trampas deliberadas, para atraer atacantes y ver cómo actuaban. “Para este informe utilizamos nuestra red de honeypots para monitorear los intentos de inicio de sesión SSH y RDP. Una vez que nos concentramos en los intentos de autenticación (a diferencia de los intentos de explotación de vulnerabilidades, los escaneos de bajo contacto y similares), encontramos que los atacantes intentaron usar 512.002 contraseñas únicas”, explica Beardsley.

RDP” refiere a Remote Desktop Protocol, es decir, el acceso remoto a una computadora. Y SSH es Secure Shell, es una consola remota, desde la cual se puede tomar acceso de un equipo ajeno.

Cómo entran los ciberdelincuentes

Todo esto es posible por prácticas deficientes y malas políticas de seguridad informática. “Cuando se almacenan datos sensibles -como las contraseñas- es obligatorio encriptarlos y enriquecer este proceso de encriptación con datos adicionales (llamados ‘Salt y Pepper’), para dificultar lo máximo posible el acceso al dato original por parte de un atacante ante un eventual escenario de brecha de datos”, advierte el arquitecto en ciberseguridad.

Sin embargo, el problema que detecta el informe de Rapid7 es que ni siquiera se toman las medidas básicas para proteger a las redes. “Lo que encontramos confirmó de muchas maneras nuestras suposiciones: los atacantes no están “descifrando” las contraseñas en Internet y todavía apestamos colectivamente en cuanto a lo que gestión de contraseñas respecta”, concluye Beardsley.

“No es tan difícil combatir este tipo de ataques. Ni siquiera tiene que tener una contraseña particularmente segura para protegerse, solo una con aleatoriedad, tal vez agregando algunos caracteres especiales, no reutilizarlas en distintos inicios de sesión y, sobre todo, no usar las contraseñas predeterminadas”, dice el director del estudio.

Y sugiere usar gestores de contraseñas: “Todas estas cosas estarían cubiertas por el uso de servicios de administrador de contraseñas que crean contraseñas únicas y aleatorias para cada una de sus cuentas en línea”.

El informe completo

Mirá también



Fuente